Configuración de la HIPAA
Más información sobre cómo hacer que tu espacio de trabajo de Notion cumpla con la HIPAA y cómo habilitar el cumplimiento de la HIPAA 🏥
Ir a las preguntas frecuentesLa Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA) es una ley federal de EE. UU. que se promulgó en 1996. Esta ley exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades amparadas, como proveedores de atención médica, planes de salud y centro de intercambio de información sobre servicios médicos, así como sus socios comerciales.
En este artículo, se brinda a los usuarios distintas opciones de configuración del producto necesarias para que su espacio de trabajo de Notion cumpla con la HIPAA.
Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.
Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.
Siempre que el texto de esta página y el texto que se encuentra en el BAA entren en conflicto, prevalecerá el texto en el BAA.
Configuración para la compatibilidad con Notion | |
---|---|
Control del acceso Adopta políticas y procedimientos técnicos para los sistemas de información electrónica que recopilan información médica electrónica protegida; de esta manera, solo podrán acceder las personas o programas de software que cuenten con derechos de acceso. | El inicio de sesión único de SAML de Notion utiliza el estándar SAML 2.0. De esta forma, conecta un proveedor de identidad (IdP) y tus espacios de trabajo para que el proceso de inicio de sesión sea más fácil y seguro. Notion es compatible con configuraciones oficiales de inicio de sesión único de SAML con Azure, Google, Gusto, Okta, OneLogin y Rippling. Para comenzar a utilizar el inicio de sesión único de SAML con Notion, debes completar los siguientes pasos: Verificar el (los) dominio(s): para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tu dominio de correo electrónico. Se trata de un proceso automatizado que consiste en agregar un registro TXT en el registro DNS de tu dominio para verificar que es tuyo. Habilitar el inicio de sesión único de SAML: este paso activa la función y completa la configuración. Para obtener más información sobre el inicio de sesión único de SAML, consulta este artículo. Cambiar el método de inicio de sesión predeterminado: al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado se establece en Enlazar espacios de trabajo adicionales: para configurar el inicio de sesión único en más de un espacio de trabajo, ponte en contacto con team@makenotion.com. Después de completar la configuración como corresponde, todos los miembros que inicien sesión en tus espacios de trabajo deberán usar el dominio verificado y autenticarse a través de tu proveedor de identidad. Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP. |
Identificación de usuario única Asigna un nombre o número únicos para identificar y hacer un seguimiento de la identidad del usuario. | Notion tiene una API de SCIM que se puede usar para aprovisionar, administrar y desaprovisionar tanto miembros como grupos. Los propietarios de espacios de trabajo pueden encontrar la clave de API requerida ingresando en |
Procedimiento de acceso de emergencia Establece (y, cuando corresponda, implementa) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia. | La búsqueda de contenido les otorga visibilidad del contenido de los espacios de trabajo a los propietarios de espacios de trabajo del plan Enterprise para mejorar su gestión y resolver problemas con el acceso a las páginas. La búsqueda de contenido te permite: |
Cierre de sesión automático Implementa procedimientos electrónicos que finalizan una sesión después de un tiempo de inactividad predeterminado. | Establecer duración de sesión personalizada: para los usuarios administrados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días. |
Controles de auditoría Implementa mecanismos de hardware, software o procedimentales que registren y examinen la actividad en sistemas de información que contengan o usen información médica electrónica protegida. | Los propietarios de espacios de trabajo del plan Enterprise pueden acceder a un registro de auditoría desde Esto puede ser muy útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar inconvenientes de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV. Los clientes empresariales también pueden utilizar nuestras integraciones de socios de prevención contra la pérdida de datos (DLP) para descubrir, clasificar y proteger datos confidenciales en Notion. |
Controles de integridad Implementa políticas y procedimientos para proteger la información médica electrónica protegida frente a la alteración o la destrucción inadecuadas. | Desactivar el uso compartido de páginas públicas: desactiva la opción “Compartir en la Web” del menú “Compartir” en todas las páginas del espacio de trabajo. |
Autenticación de personas o entidades Implementa procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida sea quien dice ser. | Desactivar cambios de perfil: evita que los usuarios administrados cambien su propia información de perfil para evitar la suplantación de identidad. |
Retención y eliminación de datos Implementa políticas y procedimientos para abordar la eliminación definitiva de la PHI electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena. | La posibilidad de configurar la retención de datos permite a los propietarios de espacios de trabajo del plan Enterprise determinar cuándo se eliminan las páginas de los usuarios de la Papelera y cuánto tiempo más se pueden conservarlas después. Guardamos copias de seguridad de nuestra base de datos, lo que nos permite restaurar tu contenido de los últimos 30 días en caso de que lo necesites. |
Seguridad de las transmisiones Implementa medidas técnicas de seguridad frente al acceso no autorizado | Cifrado en reposo: los datos de los clientes se cifran en reposo mediante el algoritmo AES-256. Se cifran los datos de los clientes que están en las redes internas de Notion, en reposo en el almacenamiento en la nube, en las tablas de bases de datos y en las copias de seguridad. |
Nota: Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.
Para habilitar el cumplimiento de la HIPA para tu espacio de trabajo:
Ve a
Configuración
en la barra lateral →Configuración del espacio de trabajo
→Cumplimiento de la HIPAA
→Activar
.Aparecerá una ventana donde podrás leer el BAA completo firmado antes de seleccionar
Aceptar
.Después de aceptar, verás la confirmación de que se habilitó el cumplimiento de la HIPAA. También te llegará un correo electrónico confirmando que el espacio de trabajo aceptó el BAA de la HIPAA.
Si quieres desactivar el cumplimiento de la HIPAA para tu espacio de trabajo:
Ve a
Configuración
en la barra lateral →Configuración del espacio de trabajo
→Cumplimiento de la HIPAA
→Desactivar
.Selecciona
Desactivar
en la ventana que aparece.Después de aceptar, verás la confirmación de que se deshabilitó el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar información de salud protegida (PHI) en tu espacio de trabajo de Notion. También en este caso, te llegará un correo electrónico de confirmación.
Preguntas frecuentes
¿Cuál es el costo de habilitar el cumplimiento de la HIPAA?
¿Cuál es el costo de habilitar el cumplimiento de la HIPAA?
El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes con el plan Enterprise.
Los clientes deben aceptar el Acuerdo de socio comercial de Notion y usar Notion en concordancia con la ley HIPAA, el BAA y la Guía de configuración de productos de la ley HIPAA.
¿Cuáles son las limitaciones del producto para habilitar el cumplimiento de la HIPAA?
¿Cuáles son las limitaciones del producto para habilitar el cumplimiento de la HIPAA?
Notion no se puede usar para comunicarse con pacientes, miembros del plan o sus familias o empleadores.
Los usuarios no pueden incluir PHI en ninguno de los siguientes campos o funcionalidades:
Nombres de espacios de trabajo u organizaciones
Nombre del espacio de equipo
Nombres de archivo
Cuenta/perfil del usuario
Nombre de los grupos de usuarios
Las solicitudes de soporte y los archivos adjuntos a una solicitud de asistencia no deben incluir ninguna PHI.
Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.
¿Las integraciones seguirán estando disponibles?
¿Las integraciones seguirán estando disponibles?
Sí, las apps anteriormente habilitadas permanecerán habilitadas. Los administradores deben revisar las integraciones existentes utilizadas para garantizar que cumplan con las normas. Los administradores pueden optar por deshabilitar la adición de nuevas integraciones que no están permitidas.